Am 9. Januar 2025 berichtete die Landkreis Cham über verschiedene Aspekte der Cookie-Nutzung auf ihrer Webseite. Demnach sind bestimmte Cookies für die Funktion der Website notwendig und können nicht deaktiviert werden. Diese Cookies werden in der Regel als Reaktion auf Benutzeraktionen gesetzt, beispielsweise beim Festlegen von Datenschutzeinstellungen, Anmelden oder Ausfüllen von Formularen. Es wird darauf hingewiesen, dass Benutzer ihren Browser so konfigurieren können, dass diese Cookies blockiert oder Benachrichtigungen über sie erhalten werden. Allerdings kann dies die Funktionalität bestimmter Bereiche der Website beeinträchtigen. Die verwendeten Cookies speichern dabei keine personenbezogenen Daten.
Zu den **Cookie-Details** gehören folgende Informationen:
- Name: ASP.NET_SessionId
Dauer: Bis zum Beenden der Browsersession
Art: 1st Party
Kategorie: Notwendig
Beschreibung: Sitzungscookie für Plattformen, die mit Microsoft .NET-Technologien erstellt wurden; dient zur Aufrechterhaltung einer anonymisierten Benutzersitzung durch den Server. - Name: __RequestVerificationToken
Dauer: Bis zum Beenden der Browsersession
Art: 1st Party
Kategorie: Notwendig
Beschreibung: Wird gesetzt, sobald ein Anmeldeformular auf der Seite angezeigt wird; es werden noch keine Inhalte geschrieben. - Name: ld-cookieselection
Dauer: 30 Tage
Art: 1st Party
Kategorie: Notwendig
Beschreibung: Speichert die Einstellung der Cookie-Auswahl.
Sicherheitsanfälligkeiten bei Cookies
Zusätzlich wurde auf die Sicherheitsanfälligkeiten im Zusammenhang mit der Verwendung von Cookies hingewiesen, wie in einem Artikel auf Stack Overflow erläutert. Eine neue Sicherheitsanfälligkeit betrifft die Herstellung von Verbindungen über HTTP, die anschließend auf HTTPS umgeleitet werden. In solchen Fällen wird das sessionid-Cookie als sicher markiert, obwohl die erste Anfrage über HTTP erfolgt. Laut McAfee Secure stellt dies ein erhebliches Sicherheitsrisiko dar.
Der bereitgestellte Code zur Sicherung von Cookies gewährleistet, dass diese ausschließlich bei Verbindungen über HTTPS geschützt sind. Wenn die Verbindung unsicher ist, wird das sessionid-Cookie abgelaufen, indem sein Wert geleert und das Cookie auf den 1. Januar 2018 gesetzt wird, wodurch es ebenfalls abläuft. Der Code überprüft zudem, ob Cookies vorhanden sind und markiert das Forms-Authentifizierungs-Cookie und das session-Cookie als sicher, wenn die Verbindung sicher ist.
